预备知识
入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。
入侵检测的功能主要体现在以下几个方面:
1、监视并分析用户和系统的活动。
2、核查系统配置和漏洞。
3、识别已知的攻击行为并报警。
4、统计分析异常行为。
5、评估系统关键资源和数据文件的完整性。
6、操作系统的审计跟踪管理并识别违反安全策略
实验目的
理解入侵检测的作用和原理,掌握snort入侵检测的数据包记录
实验工具
Snort、Wireshark
实验环境
Windows XP
实验步骤
打开snort
双击左键打开"snort.exe",如下图所示:
检查软件状态
使用下面命令查看是否正常: Snort –W
如果出现小猪的形状就说明安装成功了,此时,snort已经可以用于嗅探模式了
进入嗅探模式
输入嗅探模式命令snort –i 1
(此处选择1是网卡选择,可能有好几个网卡可选择的)
此时该控制台就会开始记录数据包,单击“开始-命令提示符”,再打开一个命令行,输入“ping 192.168.20.20”,此时snort就会开始实时记录数据包。
数据包记录器模式
上面介绍的嗅探器模式只是把信息显示在屏幕上,如果要把这些数据信息记录到硬盘上并制定到一个目录中,那就需要使用数据包记录器模式。再次打开“桌面-实验工具-snort.exe”,C:\snort\bin目录下运行命令:snort –i 1 –de –l “c:\Snort\log”
进入Snort包记录器模式。
ctrl+c退出记录命令,打开Wireshark,点击wireshake界面左上角的“file-open”:
打开“C:\Snort\log\snort.log.xxxxxxxxxx”(xxxxxxxxxx是十位数字):
以上就是通过Snort获取的数据包,可简单分析日志记录的数据包。